一种内外网物理隔离网络数据自动交换的制造方法
【专利摘要】本发明公开一种内外网物理隔离网络数据自动交换机,包括内网计算机、继电器、光驱及外网计算机。所述内网计算机通过内网网卡连接内网,外网计算机通过外网网卡连接外网,内网计算机和外网计算机通过继电器共享光驱。所述内网计算机和外网计算机内的定时切换时钟按照预定义的时间周期切换启动内网计算机或外网计算机,光驱相应被继电器连接到内网计算机或外网计算机,依次轮流对内网数据、外网的数据进行收集、刻录、读取、还原。本发明可以周期性地切换网络并刻录和读取光盘、还原数据更新和变化,具有自动化、高效率的特点,满足目前国内物理隔离网络间进行大批量、高效率安全数据交换的需求,具有极大的社会意义和良好的使用效果。
【专利说明】—种内外网物理隔离网络数据自动交换机
【技术领域】
[0001]本发明涉及交换机【技术领域】,尤其涉及一种内外网物理隔离网络数据自动交换机。
【背景技术】
[0002]随着信息技术的发展和计算机产品的广泛普及,网络已经与人们的生活和工作密切相关。但是,网络在带给我们高效、便捷和海量信息的同时,也难免会遭到病毒、黑客入侵和机密信息丢失,使得网络安全面临严峻的考验。特别是国家重要安全部门和行业如政府、军事、金融等,更面临安全上网问题。这些部门和行业常常需要使用互联网来发布和搜集一些信息、为公众提供便民服务以及利用互联网来提高管理效率等,同时又要防止自己的机密信息被窃取,这已经成为了目前迫切需要解决的问题。目前,在两个严格物理隔离的网络之间进行数据交换,可以采用手工刻录光盘的方法实现。手工刻录光盘符合网络绝对物理隔离的原则,两个网络之间可以没有任何电气连接。但是手工刻录光盘的方法具体存在如下不足:一、交换周期延时长、效率低。人工刻录光盘进行数据交换时,数据文件的整理、复制、刻录、连接到另一个网络,读取光盘、把光盘上的数据文件复制、还原到指定的位置,整个过程相当繁琐、耗时长、效率低。二、交换工作量大。现在网络之间的数据交换量一般都很大,而且对时效性的要求都越来越高,因此数据交换的周期就不能太长,这就要求使用人力不断地去重复这个刻录光盘的过程,造成工作量异常巨大,某些情况下就成了不可能完成的任务。三、只能交换目录体系简单的文件类型数据。光盘上只能刻录文件型数据,而且文件的目录结构还不能太复杂,因为刻录前要归集这些文档及目录,交换后还要把这些文件恢复到相应的位置,因此复杂的目录体系或者离散型、分布式的目录是人力难以完成的。四、不能交换数据库类型的非文件型数据。数据库类型的数据交换是人工刻录光盘的方式难以完成的。因为数据库数据记录的变化是十分严格和复杂的,而且数据之间具有十分严格的参照与映射关系,这些要素在同步时都要严格保持且不允许出现错误。这些要求只能由数据变更监控系统去实现,人力是无法做到的。四、容易出现数据错误。人工刻录光盘的繁琐工作全部要靠人力来完成,这不但造成工作效率严重低下,并且容易在工作过程中出现人为失误,对信息系统造成灾难性影响。五、光盘介质消耗大、费用高。人工刻录光盘进行数据交换时每次刻录都要消耗一张光盘,这在信息交换频率要求高的情况下,对光盘介质的消耗很大,带来的运行成本费用也很高。综上,这种手工刻录光盘的方式使用不方便、精确度难以控制、效率低,难以满足许多应用大数据量、复杂数据结构、高频率数据交换的要求,无法满足市场需求。
[0003]市场上还存在其他网络安全数据交换和隔离设备,但这些隔离交换设备都是基于类似安全隔离网闸的工作原理,不是严格意义上的物理隔离(也不被国家相关部门认可),仍然具有许多安全隐患,不符合网络物理隔离原则的。例如:上海某公司的安全隔离与信息交换系统设备,主要技术参数为:网络吞吐量85Mbps,并发连接数3.2万,系统延时7ms,支持地址绑定,3个LAN接口。对上述技术参数和工作原理分析可知,该设备的工作原理类似于网闸。该设备主要包括内网处理单元、外网处理单元和专用隔离硬件交换单元。系统中的内网处理单元连接内部网,外网处理单元连接外部网,专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接由硬件电路控制高速切换。基于上述原理的安全隔离设备对通用网络协议和数据进行了解析和重新封装,微观上看确实没有同时与两个网络进行物理连接,但宏观上却实现了各种应用协议的跨网络访问和传输,不但可以传输数据,而且可以传输指令,事实上该设备根本就不区分数据和指令,对它来说传输的都是数据包。这种数据交换设备的优点是使用方便、能够满足实时、大批量数据交换的要求,各种经过安全认证的网络访问和应用需求仍然可以实时、顺利通过,其安全性完全依赖于其安全保护体系。在当前攻击与防范拉锯式发展的情况下,从来就没有绝对安全的安全体系,因此这种类型的设备依然存在网络攻击和非法访问问题,严格来说不是物理隔离的数据交换方法,不符合网络物理隔离的原则。
【发明内容】
[0004]本发明的目的在于通过一种内外网物理隔离网络数据自动交换机,来解决以上【背景技术】部分提到的问题。
[0005]为达此目的,本发明采用以下技术方案:
[0006]一种内外网物理隔离网络数据自动交换机,包括内网计算机、继电器、光驱及外网计算机;所述内网计算机通过内网网卡连接内网,外网计算机通过外网网卡连接外网,内网计算机和外网计算机通过继电器共享所述光驱;
[0007]所述内网计算机和外网计算机内的定时切换时钟按照预定义的时间周期切换启动内网计算机或外网计算机,光驱相应被继电器连接到内网计算机或外网计算机,依次轮流对内网数据、外网的数据进行收集、刻录、读取、还原。
[0008]特别地,所述内网计算机和外网计算机分别使用两路不同的供电线路。
[0009]特别地,所述定时切换时钟按照预定义的时间周期加电启动内网计算机后,光驱将被继电器连接到内网计算机,内网计算机检查光驱上是否存在从外网提取的变更数据文件包,若存在,则从光驱中读取该变更数据文件包,并通过数据交换程序对该变更数据文件包解密,获得数据库变更记录和文档变更记录,首先把每一条的数据库变更记录同步更新到内网数据库中,变更内容包括数据库所有表记录的新增记录、修改记录和删除记录,然后把变更的文档复制更新到该文档相应位置;在预定时刻,提取内网变更的数据库记录和文档记录,并将其以文件的形式压缩在一起,经内置的加密算法程序处理后,被刻录到光驱上,刻录完毕后,定时切换时钟控制内网计算机断电,外网计算机加电启动,光驱被继电器切换到外网计算机,外网计算机后续工作过程同上述内网计算机。
[0010]特别地,所述内网和外网的服务器主机上均安装有独立的数据库记录变更监控服务,该服务用于监控数据库中所有表的任何更新变化,包括数据库记录的新增、修改和删除,并可为监控数据设置监控条件,实现只监控符合条件的数据记录变更,需要监控的数据库和表可以在管理工具中进行配置。
[0011]特别地,所述数据库记录变更监控服务通过数据表更新触发器、新增触发器、删除触发器实现,并可自动对用户需要交换的数据表创建数据监控触发器。
[0012]特别地,所述内网和外网的服务器主机上均安装有独立的文档变更监控服务,该服务用于监控磁盘上文件的任何更新变化,包括文档的创建、修改和删除,需要监控的磁盘目录可以在管理工具中进行配置。
[0013]特别地,所述自动交换机设置有异常报警机制,在工作发生异常时,将通过包括手机短信、电子邮件在内的方式向管理员发出警报。
[0014]本发明提供内外网物理隔离网络数据自动交换机具有如下优点:一、实现绝对物理隔离网络。在两个网络之间进行数据交换时,不需要对两个网络进行任何形式的物理连接,采用的是刻录光盘介质的方法,两个网络之间没有任何电气连接,因此本发明严格遵循网络物理隔离的原则。二、具有最高的安全性标准。由于两个物理隔离的网络之间没有任何电气连接,不能传输任何形式的信号,所有数据都通过光盘媒介进行传递,并且传递的仅仅是数据,没有任何可执行的代码,因此没有机会传播病毒,具有最高的网络安全标准。三、可以自动化交换数据库类型数据和文档类型数据。数据变更监控服务不但可以监控文件型数据的变化,还可以监控数据库数据的变化,因此不但可以同步交换文档变更,还可以同步交换数据库记录的变更,具有很广泛的应用范围,这是传统手工刻录光盘的方式不可能做到的。四、无须人工干预的周期性自动化数据交换。本发明可以周期性地切换网络并刻录和读取光盘、还原数据更新和变化,整个数据交换的过程完全自动化,无须人工干预,具有自动化、高效率的特点,满足了目前国内物理隔离网络间进行大批量、结构复杂、高效率安全数据交换的迫切需求,具有极大的社会意义和良好的使用效果。
【专利附图】
【附图说明】
[0015]图1为本发明实施例提供的内外网物理隔离网络数据自动交换机结构原理示意图;
[0016]图2为本发明实施例提供的内外网物理隔离网络数据自动交换机工作流程示意图。
【具体实施方式】
[0017]下面结合附图和实施例对本发明作进一步说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。
[0018]请参照图1所示,图1为本发明实施例提供的内外网物理隔离网络数据自动交换机结构原理示意图。
[0019]本实施例中内外网物理隔离网络数据自动交换机具体包括内网计算机101、继电器102、光驱103及外网计算机104。所述内网计算机101通过内网网卡连接内网,外网计算机104通过外网网卡连接外网,内网计算机101和外网计算机104通过继电器102共享所述光驱103。于本实施,所述内网计算机101和外网计算机104分别使用两路不同的供电线路,以避免数据信号通过电源线进行耦合。所述继电器102选用多刀双位继电器。
[0020]所述内网计算机101和外网计算机104内的定时切换时钟按照预定义的时间周期切换启动内网计算机101或外网计算机104,光驱103相应被继电器102连接到内网计算机101或外网计算机104,依次轮流对内网数据、外网的数据进行收集、刻录、读取、还原。
[0021]如图2所示,图2为本发明实施例提供的内外网物理隔离网络数据自动交换机工作流程示意图。
[0022]自动交换机开机工作后,内网计算机和外网计算机内的定时切换时钟启动,按照预定义的时间周期切换启动内网计算机或外网计算机。当首先启动的是内网就算计机时,内外网物理隔离网络数据自动交换机的工作过程如下:
[0023]步骤S201、定时切换时钟按照预定义的时间周期加电启动内网计算机。
[0024]步骤S202、光驱切换连接到内网计算机。光驱被继电器连接到内网计算机。内网计算机检查光驱上是否存在从外网提取的变更数据文件包,若存在,则执行步骤S203。
[0025]步骤S203、读取外网数据库变更记录和文档变更记录。从光驱中读取所述变更数据文件包,并通过数据交换程序对该变更数据文件包解密,获得外网数据库变更记录和文档变更记录,首先把每一条的数据库变更记录同步更新到内网数据库中,其中,变更内容包括数据库所有表记录的新增记录、修改记录和删除记录,然后把变更的文档复制更新到该文档相应位置,这样就实现了外网所有变更信息内容对内网的更新。变更数据文件包包括数据库变更记录和文档变更记录,但所有数据信息文件都经过压缩和加密,除了本机的数据交换程序之外其他任何人不可能获知其内容。
[0026]步骤S204、在预定时刻,提取内网变更的数据库记录和文档记录,并将其以文件的形式压缩在一起,经内置的加密算法程序处理后,被刻录到光驱上。
[0027]步骤S205、定时切换时钟控制内网计算机断电,外网计算机加电启动,光驱被继电器切换到外网计算机。外网计算机后续工作过程同上述内网计算机加电启动后的工作过程相同。
[0028]在本实施例中所述内网和外网的服务器主机上均安装有独立的数据库记录变更监控服务和文档变更监控服务。所述数据库记录变更监控服务用于监控数据库中所有表的任何更新变化,包括数据库记录的新增、修改和删除,这些变化情况都被记录下来,利用这些变化数据就可以在另一个对等系统中还原这些数据,实现数据库数据变更的采集、传输和还原。数据库记录变更监控服务可以监控任意数据库的任意表,并可为监控数据设置监控条件,实现只监控符合条件的数据记录变更。需要监控的数据库和表可以在管理工具中进行配置,实现精确目的的数据变更监控。本实施中所述数据库记录变更监控服务通过数据表更新触发器、新增触发器、删除触发器实现,并可自动对用户需要交换的数据表创建数据监控触发器。所述文档变更监控服务用于监控磁盘上文件的任何更新变化,包括文档的创建、修改和删除,这些变化情况都被记录下来,利用这些变化数据就可以在另一个对等系统中还原这些文档,实现文档变更的采集、传输和还原。文档变更监控服务可以监控任意磁盘目录中的文档,需要监控的磁盘目录可以在管理工具中进行配置,实现精确的文档变更监控。另外,本发明还设置有异常报警机制,监控程序可以实时监控交换机的工作状况,一旦发现异常,比如光盘空间不足等状况,将通过手机短信、电子邮件等方式向管理员发出警报,提醒管理员及时处理。
[0029]本发明的技术方案具有如下优点:一、节省人力劳动。本发明进行数据交换基本不需要人工干预,仅仅在刻录光盘没有空间的时候需要更换一张新光盘。如果预算允许而采用光盘塔代替光驱的话,人工更换光盘的工作就基本上可以忽略不计了。以实际应用中的典型案例来做比较,比如一家大型单位内网中每天产生文档1000个,每个文档平均ΙΟΟΟΚ(ΙΜΒ)计算,大约IOOOM(IGb),数据库数据一般都具有良好的数据规范,其冗余度很低,一天的典型数据量大约在200M,因此该单位合计每天产生大约1200M的数据。如果使用传统的人工刻录光盘的方式进行数据交换,为了保障数据传输的及时性和避免延误影响工作,至少需要一个小时作为一个内外网数据交换周期,即每半个小时内网向外网,再半个小时外网向内网。这样就需要一个专门的工作人员在这半个小时内完成数据文档的收集、刻录和数据还原,这是十分机械、复杂的劳动,并且在这个过程中很容易人为出错,造成难以估量的损失。如果采用本发明的技术方案,这一切都无须人工干预,可以减少一个专职的工作人员,而且全程自动化,可以避免任何形式的人为失误,为用户单位节省大量的人力成本。二、节省光盘,降低成本。我们以上面的案例核算,如果采用人工刻录的方式,在一天8小时工作制下就需要刻录16次,这样至少需要16张光盘,一个月就需要480张光盘,大约价值1000元。如果提高数据交换频率的话,消耗的光盘数量还会大量增加。如果采用本发明的技术方案方案,以每天产生大约1200M的数据为例,由于本系统在刻录光盘时是追加刻录的方式,也就是光盘中只要还有空间,就可以一直使用,而且刻录时本系统会自动对刻录数据进行压缩,典型的数据压缩率为20%,因此每天大约需要240M光盘空间,每个月7200M光盘空间,也就是4G的DVD光盘每个月只需要两张。由此可见,本发明可以大量节省光盘介质和经费。三、提高了数据交换效率。本发明采用全自动的周期性数据交换,其数据交换周期最低可以达到10分钟之内,这么高的交换频率是人力难以做的,可以极大地提高用户单位的工作效率,提高信息交流反馈的及时性,实现原来难以实现的功能要求,具有极大的社会意义。四、安全性高。由于本发明在两个网络之间进行数据交换时,不需要对两个网络进行任何形式的物理连接,采用的是刻录光盘介质的方法,两个网络之间没有任何电气连接,因此本发明严格遵循了网络物理隔离的原则,所以本数据交换系统具有极高的安全性,可以防止任何网络攻击和病毒的感染,对提高用户单位网络的安全级别、保护数据安全具有巨大的作用。
[0030]注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
【权利要求】
1.一种内外网物理隔离网络数据自动交换机,其特征在于,包括内网计算机、继电器、光驱及外网计算机;所述内网计算机通过内网网卡连接内网,外网计算机通过外网网卡连接外网,内网计算机和外网计算机通过继电器共享所述光驱; 所述内网计算机和外网计算机内的定时切换时钟按照预定义的时间周期切换启动内网计算机或外网计算机,光驱相应被继电器连接到内网计算机或外网计算机,依次轮流对内网数据、外网的数据进行收集、刻录、读取、还原。
2.根据权利要求1所述的内外网物理隔离网络数据自动交换机,其特征在于,所述内网计算机和外网计算机分别使用两路不同的供电线路。
3.根据权利要求1所述的内外网物理隔离网络数据自动交换机,其特征在于,所述定时切换时钟按照预定义的时间周期加电启动内网计算机后,光驱将被继电器连接到内网计算机,内网计算机检查光驱上是否存在从外网提取的变更数据文件包,若存在,则从光驱中读取该变更数据文件包,并通过数据交换程序对该变更数据文件包解密,获得数据库变更记录和文档变更记录,首先把每一条的数据库变更记录同步更新到内网数据库中,变更内容包括数据库所有表记录的新增记录、修改记录和删除记录,然后把变更的文档复制更新到该文档相应位置;在预定时刻,提取内网变更的数据库记录和文档记录,并将其以文件的形式压缩在一起,经内置的加密算法程序处理后,被刻录到光驱上,刻录完毕后,定时切换时钟控制内网计算机断电,外网计算机加电启动,光驱被继电器切换到外网计算机,外网计算机后续工作过程同上述内网计算机。
4.根据权利要求3所述的内外网物理隔离网络数据自动交换机,其特征在于,所述内网和外网的服务器主机上均安装有独立的数据库记录变更监控服务,该服务用于监控数据库中所有表的任何更新变化,包括数据库记录的新增、修改和删除,并可为监控数据设置监控条件,实现只监控符合条件的数据记录变更,需要监控的数据库和表可以在管理工具中进行配置。
5.根据权利要求4所述的内外网物理隔离网络数据自动交换机,其特征在于,所述数据库记录变更监控服务通过数据表更新触发器、新增触发器、删除触发器实现,并可自动对用户需要交换的数据表创建数据监控触发器。
6.根据权利要求3至5之一所述的内外网物理隔离网络数据自动交换机,其特征在于,所述内网和外网的服务器主机上均安装有独立的文档变更监控服务,该服务用于监控磁盘上文件的任何更新变化,包括文档的创建、修改和删除,需要监控的磁盘目录可以在管理工具中进行配置。
7.根据权利要求6所述的内外网物理隔离网络数据自动交换机,其特征在于,所述自动交换机设置有异常报警机制,在工作发生异常时,将通过包括手机短信、电子邮件在内的方式向管理员发出警报。
【文档编号】H04L29/06GK103957172SQ201410183027
【公开日】2014年7月30日 申请日期:2014年4月30日 优先权日:2014年4月30日
【发明者】徐四海, 席守顺, 钱炜 申请人:无锡中科软信息技术有限公司